Вы можете прибегнуть к применению NAT, возможно, потому что ваши адреса не являются легальными, официально приписанными IP-адресами. Возможно, для своей внутренней сети вы выбрали адреса, которые официально принадлежат другой сети. Тот случай, когда адрес используется как легально, так и нелегально, называется перехлестом. Вы можете применять NAT, чтобы транслировать внутренние адреса, которые перехлестываются с внешними. Используйте эту возможность, если ваши IP-адреса в локальной сети являются легальными, но принадлежат другой сети снаружи, и вы хотите взаимодействовать с этими внешними станциями.
Рис. 8 показывает, как NAT транслирует перехлестывающиеся сети.
Рис. 8 : Трансляция при перехлесте адресов
При этой схеме действия маршрутизатор следующие:
Шаг 1Пользователь на Станция 1.1.1.1 открывает соединение со Станцией C по имени, адресуя запрос к DNS-серверу.
Шаг 2Маршрутизатор принимает ответ от DNS и транслирует разрешенный адрес, если возникает перехлест (т.е. полученный легальный адрес находится нелегальным образом и во внутренней сети). Чтобы оттранслировать адрес, маршрутизатор создает простую запись в таблице трансляции, ставящую в соответствие перехлестывающемуся адресу 1.1.1.3 адрес из отдельно сконфигурированного диапазона внешних локальных адресов.
Маршрутизатор проверяет каждый DNS-ответ отовсюду, удостоверяясь в том, что IP-адрес не находится в локальной сети. Если это происходит, маршрутизатор транслирует адрес.
Шаг 3Станция 1.1.1.1 открывает соединение по адресу 3.3.3.3.
Шаг 4Маршрутизатор осуществляет трансляцию внутренних локального и глобального адресов друг в друга и внешних локального и глобального адресов друг в друга.
Шаг 5Маршрутизатор заменяет адрес источника на внутренний глобальный адрес, а адрес назначения - на внешний глобальный адрес.
Шаг 6Станция C получает пакет и продолжает сетевой диалог.
Шаг 7Маршрутизатор сверяется с таблицей, заменяет адрес назначения на внутренний локальный адрес, а адрес источника - на внешний локальный адрес.
Шаг 8Станция 1.1.1.1 получает пакет и диалог продолжается с помощью этого трансляционного процесса.
Распределение TCP-трафика
Другой вариант применения NAT не связан с Интернет-адресами. Ваша организация может иметь несколько узлов, которые должны активно взаимодействовать со станциями извне. С помощью NAT вы можете создать во внутренней сети один виртуальный узел, который будет координировать распределение загрузки между реальными сетевыми узлами. Адреса назначения, подходящие определенному списку доступа, заменяются на адреса из другого множества адресов. Адреса из этого диапазона подставляются по "карусельной" схеме и только когда открывается новое соединение из внешней сети. Трафик, имеющий не TCP-происхождение, проходит через маршрутизатор без трансляции (если другие механизмы трансляции не включены). Рис. 9иллюстрирует эту возможность.
Рис. 9 : Распределение TCP-загрузки с помощью NAT
Маршрутизатор совершает следующие действия:
Шаг 1Пользователь на Станции B (9.6.7.3) открывает соединение с виртуальной станцией по адресу 1.1.1.127.
Шаг 2Маршрутизатор получает запрос на соединение и создает новую запись в таблице трансляции, выбирая в качестве локального адреса следующий по очереди из определенного диапазона внутренних адресов- 1.1.1.1.
Шаг 3Маршрутизатор заменяет адрес назначения на выбранный адрес реальной станции и отправляет пакет.
Шаг 4Станция 1.1.1.1 получает пакет и отвечает на него.
Шаг 5Маршрутизатор получает пакет, сверяется с NAT-таблицей, используя локальный адрес и номер порта как ключ. Затем он транслирует адрес источника в адрес виртуального узла и отправляет пакет.
Следующий запрос на соединение приведет к тому, что марщрутизатор выберет адрес 1.1.1.2 в качестве внутреннего локального адреса.
Если вы встречали в Интернете другие материалы на русском или английском языках по технологии NAT и настройке NAT в оборудовании, которые, по вашему мнению, могут дополнить этот обзор присылайте нам ссылки.
IPv6
[править | править вики-текст]
Материал из Википедии — свободной энциклопедии
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 12 июня 2015; проверки требует 1 правка.
Информация в этой статье или некоторых её разделах устарела.
Вы можете помочь проекту, обновив её и убрав после этого данный шаблон.
Примерное официальное изображение
IPv6
Название:
Internet Protocol version 6
Уровень (помодели OSI):
Сетевой
Семейство:
TCP/IP
Создан в:
1996 г.
Назначение протокола:
Адресация
Спецификация:
RFC 2460
Основные реализации (клиенты):
реализации стека TCP/IP вMicrosoft Windows, Linux иBSD
Основные реализации (серверы):
реализации стека TCP/IP вWindows, Linux и BSD
IPv6 (англ. Internet Protocol version 6) — новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт использования длины адреса 128 бит вместо 32. Протокол был разработан IETF.
В настоящее время протокол IPv6 уже используется в нескольких тысячах сетей по всему миру (более 14000 сетей на осень 2013), но пока ещё не получил столь широкого распространения в Интернете, как IPv4. На конец 2012 года доля IPv6 в сетевом трафике составляла около 1 %[1]. К концу 2013 года ожидался рост до 3 %[2]. В России коммерческое использование операторами связи невелико (не более 1 % трафика).DNS-серверы многих российских регистраторов доменов и провайдеров хостинга используют IPv6.
После того как адресное пространство в IPv4 закончится, два стека протоколов — IPv6 и IPv4 — будут использоваться параллельно (англ. dual stack), с постепенным увеличением доли трафика IPv6 по сравнению с IPv4. Такая ситуация станет возможной из-за наличия огромного количества устройств, в том числе устаревших, не поддерживающих IPv6 и требующих специального преобразования для работы с устройствами, использующими только IPv6.
Содержание
[убрать]
· 1 История создания
o 1.1 Исчерпание IPv4 адресов в 2012 году
o 1.2 Тестирование протокола
o 1.3 Внедрение протокола
· 2 Сравнение с IPv4
o 2.1 Автоконфигурация (Stateless address autoconfiguration — SLAAC)
· 3 Метки потоков
· 4 QoS
· 5 Механизмы безопасности
· 6 Основы адресации IPv6
o 6.1 Типы Unicast адресов
o 6.2 Типы Multicast адресов
· 7 Формат пакета
· 8 Нотация
· 9 Зарезервированные адреса IPv6
· 10 См. также
· 11 Примечания
· 12 Ссылки
История создания[править | править вики-текст]
В конце 1980-х стала очевидна необходимость разработки способов сохранения адресного пространства Интернета. В начале 1990-х, несмотря на внедрение бесклассовой адресации, стало ясно, что этого недостаточно для предотвращения исчерпания адресов и необходимы дальнейшие изменения инфраструктуры Интернета. К началу 1992 года появилось несколько предложений, и к концу 1992 года IETF объявила конкурс для рабочих групп на создание интернет-протокола следующего поколения (англ. IP Next Generation — IPng). 25 июля 1994 года IETF утвердила модель IPng, с образованием нескольких рабочих групп IPng. К 1996 году была выпущена серия RFC, определяющих Интернет протокол версии 6, начиная сRFC 1883.
IETF назначила новому протоколу версию 6, так как версия 5 была ранее назначена экспериментальному протоколу, предназначенному для передачи видео и аудио.
Исчерпание IPv4 адресов в 2012 году[править | править вики-текст]
Информация в этой статье или некоторых её разделах устарела.
Вы можете помочь проекту, обновив её и убрав после этого данный шаблон.
Основная статья: Исчерпание IPv4-адресов
Оценки времени полного исчерпания IPv4 адресов различались в 2000-х. Так, в 2003 году директор APNIC Пол Уилсон (англ. Paul Wilson) заявил, что, основываясь на темпах развёртывания сети Интернет того времени, свободного адресного пространства хватит на одно—два десятилетия. В сентябре 2005 года Cisco Systems предположила, что пула доступных адресов хватит на 4—5 лет.
3 февраля 2011 агентство IANA распределило последние 5 блоков /8 IPv4 региональным интернет-регистраторам. Выделение диапазонов адресов региональными службами RIR продолжается, однако, по данным исследований, остатки адресов закончатся в августе 2012[3] года.
14 сентября 2012 года организация RIPE NCC разослала информационное сообщение, где говорится о начале распределения последнего свободного блока /8. При этом новые аллокации не могут быть более /22 (1024 адреса), и LIR уже должен иметь аллокацию в IPv6.
8 июня 2011 года состоялся Международный день IPv6 — мероприятие по тестированию готовности мирового интернет-сообщества к переходу с IPv4 на IPv6, в рамках которого участвующие в акции компании добавили к своим сайтам IPv6-записи на один день. Тестирование прошло успешно, накопленные данные будут проанализированы и учтены при последующем внедрении протокола и для составления рекомендаций.
Внедрение протокола[править | править вики-текст]
Перевод на IPv6 начал осуществляться внутри Google с 2008 года. Тестирование IPv6 признано успешным[4]. 6 июня 2012 года состоялся Всемирный запуск IPv6[5]. Интернет-провайдеры включат IPv6 как минимум для 1 % своих пользователей (уже подписались AT&T, Comcast, Free Telecom, Internode, KDDI, Time Warner Cable, XS4ALL). Производители сетевого оборудования активируют IPv6 в качестве настроек по умолчанию в маршрутизаторах (Cisco, D-Link). Веб-компании включат IPv6 на своих основных сайтах (Google, Facebook, Microsoft Bing, Yahoo), а некоторые переводят на IPv6 также корпоративные сети. В спецификации стандарта мобильных сетей LTE указана обязательная поддержка протокола IPv6.
Сравнение с IPv4[править | править вики-текст]
Иногда утверждается, что новый протокол может обеспечить до 5·1028 адресов на каждого жителя Земли. Такое большое адресное пространство было введено ради иерархичности адресов (это упрощает маршрутизацию). Тем не менее, увеличенное пространство адресов сделает NAT необязательным. Классическое применение IPv6 (по сети /64 на абонента; используется только unicast-адресация) обеспечит возможность использования более 300 млн IP-адресов на каждого жителя Земли.
Из IPv6 убраны функции, усложняющие работу маршрутизаторов:
· Маршрутизаторы больше не должны фрагментировать пакет, вместо этого пакет отбрасывается с ICMP-уведомлением о превышении MTU. Передающая сторона в IPv6, таким образом, обречена на использование технологии Path MTU discovery. Для лучшей работы протоколов, требовательных к потерям, минимальный MTU поднят до 1280 байт. Фрагментация поддерживается как опция (информация о фрагментации пакетов вынесена из основного заголовка в расширенные) и возможна только по инициативе передающей стороны.
· Из IP-заголовка исключена контрольная сумма. С учётом того, что канальные (Ethernet) и транспортные (TCP и UDP) протоколы имеют свои контрольные суммы, еще одна контрольная сумма на уровне IP воспринимается как излишняя. Кроме того, модификация поля hop limit (или TTL в IPv4) на каждом маршрутизаторе в IPv4 приводила к необходимости её постоянного перерасчёта.
Несмотря на огромный размер адреса IPv6, благодаря этим улучшениям заголовок пакета удлинился всего лишь вдвое: с 20 до 40 байт.
Улучшения IPv6 по сравнению с IPv4:
· В сверхскоростных сетях возможна поддержка огромных пакетов (джамбограмм) — до 4 гигабайт;
При инициализации сетевого интерфейса ему назначается локальный IPv6-адрес, состоящий из префикса fe80::/10 и идентификатора интерфейса, размещённого в младшей части адреса. В качестве идентификатора интерфейса часто используется 64-битный расширенный уникальный идентификатор EUI-64, часто ассоциируемый с MAC-адресом. Локальный адрес действителен только в пределах сетевого сегмента канального уровня и используется, в основном, для обмена информационнымиICMPv6 пакетами.
Для настройки других адресов узел может запросить информацию о настройках сети у маршрутизаторов, отправив ICMPv6 сообщение «Router Solicitation» на групповой адрес маршрутизаторов. Маршрутизаторы, получившие это сообщение, отвечают ICMPv6 сообщением «Router Advertisement», в котором может содержаться информация о сетевом префиксе, адресе шлюза, адресах рекурсивных DNS серверов[6], MTU и множестве других параметров. Объединяя сетевой префикс и идентификатор интерфейса, узел получает новый адрес. Для защиты персональных данных идентификатор интерфейса может быть заменён на псевдослучайное число.
Для большего административного контроля может быть использован DHCPv6, позволяющий администратору маршрутизатора назначать узлу конкретный адрес.
Для провайдеров может использоваться функция делегирования префиксов клиенту, что позволяет клиенту просто переходить от провайдера к провайдеру, без изменения каких-либо настроек.
Метки потоков[править | править вики-текст]
Введение в протоколе IPv6 поля «Метка потока» позволяет значительно упростить процедуру маршрутизации однородного потока пакетов. Поток — это последовательность пакетов, посылаемых отправителем определённому адресату. При этом предполагается, что все пакеты данного потока должны быть подвергнуты определённой обработке. Характер данной обработки задаётся дополнительными заголовками.
Допускается существование нескольких потоков между отправителем и получателем. Метка потока присваивается узлом-отправителем путём генерации псевдослучайного 20-битного числа. Все пакеты одного потока должны иметь одинаковые заголовки, обрабатываемые маршрутизатором.
При получении первого пакета с меткой потока маршрутизатор анализирует дополнительные заголовки, выполняет предписанные этими заголовками функции и запоминает результаты обработки (адрес следующего узла, опции заголовка переходов, перемещение адресов в заголовке маршрутизации и т. д.) в локальном кэше. Ключом для такой записи является комбинация адреса источника и метки потока. Последующие пакеты с той же комбинацией адреса источника и метки потока обрабатываются с учётом информации кэша без детального анализа всех полей заголовка.
Время жизни записи в кэше составляет не более 6 секунд, даже если пакеты этого потока продолжают поступать. При обнулении записи в кэше и получении следующего пакета потока пакет обрабатывается в обычном режиме, и для него происходит новое формирование записи в кэше. Следует отметить, что указанное время жизни потока может быть явно определено узлом отправителем с помощью протокола управления или опций заголовка переходов и может превышать 6 секунд.
Обеспечение безопасности в протоколе IPv6 осуществляется с использованием протокола IPSec, поддержка которого является обязательной для данной версии протокола.
QoS[править | править вики-текст]
Приоритет пакетов маршрутизаторы определяют на основе первых шести бит поля Traffic Class. Первые три бита определяют класс трафика, оставшиеся биты определяют приоритет удаления. Чем больше значение приоритета, тем выше приоритетпакета.
Разработчики IPv6 рекомендуют использовать для определённых категорий приложений следующие коды класса трафика:
В отличие от SSL и TLS, протокол IPSec позволит шифровать любые данные (в том числе UDP) без необходимости какой-либо поддержки со стороны прикладного ПО.
Основы адресации IPv6[править | править вики-текст]
Существуют различные типы адресов IPv6: одноадресные (Unicast), групповые (Anycast) и многоадресные (Multicast).
Адреса типа Unicast хорошо всем известны. Пакет, посланный на такой адрес, достигает в точности интерфейса, который этому адресу соответствует.
Адреса типа Anycast синтаксически неотличимы от адресов Unicast, но они адресуют группу интерфейсов. Пакет, направленный такому адресу, попадёт в ближайший (согласно метрике маршрутизатора) интерфейс. Адреса Anycast могут использоваться только маршрутизаторами.
Адреса типа Multicast идентифицируют группу интерфейсов. Пакет, посланный на такой адрес, достигнет всех интерфейсов, привязанных к группе многоадресного вещания.
Адреса разделяются двоеточиями (напр. fe80:0:0:0:200:f8ff: fe21:67cf). Большое количество нулевых групп может быть пропущено с помощью двойного двоеточия (fe80::200:f8ff: fe21:67cf). Такой пропуск должен быть единственным в адресе.
Соответствуют публичным IPv4 адресам. Могут находиться в любом не занятом диапазоне. В настоящее время региональные интернет-регистраторы распределяют блок адресов 2000::/3 (с 2000:: по 3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF).
· Link-Local
Соответствуют автосконфигурированным с помощью протокола APIPA IPv4 адресам. Начинаются с FE80. Используется:
1. В качестве исходного адреса для Router Solicitation(RS) и Router Advertisement(RA) сообщений, для обнаружения маршрутизаторов
2. Для обнаружения соседей (эквивалент ARP для IPv4)
3. Как next-hop адрес для маршрутов
· Unique-Local
RFC 4193, соответствуют внутренним IP адресам, которыми в версии IPv4 являлись 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Начинаются с цифр FC00 и FD00.
· Назначенные (Assigned multicast) — специальные адреса, назначение которых предопределено. Это зарезервированные для определённых групп устройств мультикастовые адреса. Отправляемый на такой адрес пакет будет получен всеми устройствами, входящими в группу.
· Запрошенные (Solicited multicast) — остальные адреса, которые устройства могут использовать для прикладных задач. Адрес этого типа автоматически появляется, когда на некотором интерфейсе появляется юникастовый адрес. Адрес формируется из сети FF02:0:0:0:0:1:FF00::/104, оставшиеся 24 бита — такие же как у настроенного юникастового адреса.
Формат пакета[править | править вики-текст]
Основная статья: Пакет IPv6
Пакеты состоят из управляющей информации, необходимой для доставки пакета адресату, и полезных данных, которые требуется переслать. Управляющая информация делится на содержащуюся в основном фиксированном заголовке, и содержащуюся в одном из необязательных дополнительных заголовков. Полезные данные, как правило, это дейтаграмма или фрагмент протокола более высокого транспортного уровня, но могут быть и данные сетевого уровня (например ICMPv6), или же канального уровня (например OSPF).
IPv6-пакеты обычно передаются с помощью протоколов канального уровня, таких как Ethernet, который инкапсулирует каждый пакет в кадр. Но IPv6-пакет может быть передан с помощью туннельного протокола более высокого уровня, например в 6to4или Teredo.
Нотация[править | править вики-текст]
Адреса IPv6 отображаются как восемь четырёхзначных шестнадцатеричных чисел (то есть групп по четыре символа), разделённых двоеточием. Пример адреса:
2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d
Если одна или более групп подряд равны 0000, то они могут быть опущены и заменены на двойное двоеточие (::). Например, 2001:0db8:0000:0000:0000:0000:ae21:ad12 может быть сокращён до 2001:db8::ae21:ad12, или 0000:0000:0000:0000:0000:0000:ae21:ad12 может быть сокращён до ::ae21:ad12. Сокращению не могут быть подвергнуты 2 разделённые нулевые группы из-за возникновения неоднозначности.
При использовании IPv6-адреса в URL необходимо заключать адрес в квадратные скобки:
http://[2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d]/
Если необходимо указать порт, то он пишется после скобок: